Transferencias internacionales de datos

Por Daniel A. López Carballo

Las Transferencias Internacionales de Datos, son tratamientos de datos que implican una transmisión de los mismos a un países no perteneciente al Espacio Económico Europeo, tanto por la vía de la cesión de datos como cuanto tenga por objeto la realización de un tratamiento de datos por cuenta del Responsable del Fichero establecido en territorio español. En la legislación española, las Transferencias se encuentran reguladas en os artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y en el Título VI del Real Decreto 1720/2007, de 21 de diciembre , por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal.

Se debe tener en cuenta que, en las transferencias internacionales, intervienen dos tipos de sujetos. El exportador de datos es la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero y, el importador de datos es la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero.

Una transferencia internacional de datos no excluye en ningún caso la aplicación de las disposiciones contenidas en la Ley Orgánica de protección de datos de carácter personal y su Reglamento de desarrollo. Para que la transferencia internacional de datos pueda considerarse conforme a lo dispuesto en las citadas normas, será necesario la previa autorización del Director de la Agencia Española de Protección de Datos, salvo que los datos se transfieran a un país que ofrezca un nivel adecuado de protección o que se trate de supuestos legalmente excepcionados de la autorización del Director.

Los países cuyo nivel de protección se considera equiparable por la Agencia Española de Protección de Datos, según lo establecido en el artículo 67 del Real Decreto 1720/2007, de 21 de diciembre, son:

Suiza, de acuerdo con la Decisión de la Comisión 2000/518/ CE, de 26 de julio de 2000
Las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor), de acuerdo con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000
Canadá respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos, de acuerdo con la Decisión 2002/2/CE de la Comisión de 20 de diciembre de 2001
Argentina, de acuerdo con la Decisión 2003/490/CE, de la Comisión de 30 de junio de 2003
Guernsey, de acuerdo con la Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003
Isla de Man, de acuerdo con la Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004
Jersey, de acuerdo con la Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008
Islas Feroe, de acuerdo con la Decisión 2010/146/UE de la Comisión de 5 de marzo de 2010
Andorra, de acuerdo con la Decisión 2010/625/UE, de la Comisión de 19 de octubre de 2010
Israel, de acuerdo con la Decisión de la Comisión de 31 de enero de 2011 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo
Uruguay, de acuerdo con la Decisión de la Comisión de 21 de agosto de 2012 de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

Por otro lado, el artículo 34 de la citada Ley Orgánica y 66.2 del Reglamento establecen los supuestos en los que no será necesaria la autorización previa del Director de la Agencia Española de Protección de Datos:

Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.
Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional
Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.
Cuando se refiera a transferencias dinerarias conforme a su legislación específica.
Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.
Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.
Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.
Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro público y aquélla sea acorde con la finalidad del mismo.

En los casos en que sea necesaria la autorización del Director de la Agencia ésta podrá ser otorgada en caso de que el exportador aporte las garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.

Según indica la propia Agencia Española, se podrán autorizar transferencias internacionales de datos entre un encargado del tratamiento/exportador de datos, establecido en España, y un subencargado del tratamiento/importador de datos, ubicado en un país que no garantiza un nivel adecuado de protección en materia de datos personales, siempre que por el exportador de datos se aporten las garantías suficientes de respeto a la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos; y un contrato marco entre el responsable del tratamiento y el encargado del tratamiento/exportador de datos en el que se autorice a éste la subcontratación y la transferencia internacional de datos.

La autorización de transferencias internacionales de datos se tramitará en el Registro General de Protección de Datos conforme al procedimiento establecido en la sección primera del capítulo V del título IX del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal.

Constituye falta muy grave, de acuerdo con lo dispuesto en el artículo 44.4.e) de la Ley Orgánica 15/1999 «la transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia Española de Protección de Datos».

Ver más colaboraciones

Yo, empresa y Ley de Protección de Datos Personales, primera etapa

Las «Buenas prácticas» en materia de protección de datos y derecho a la propia imagen en México

Los Papeles de Panamá: más allá de paraísos fiscales y sociedades offshore